## 介绍
长度扩展攻击是一种加密攻击,攻击者可以使用消息(消息 1)的值和该消息的长度的哈希值来计算由原始消息和攻击者添加的消息(消息 1 ‖ 消息 2)组成的新消息的哈希值,而无需知道原始消息(消息 1)的内容。此漏洞在基于 Merkle-Damgaard 设计的哈希函数中很常见,例如 MD5、SHA-1 和大多数 SHA-2。
## 攻击机制
Merkle-Damgaard 设计用于各种哈希函数来处理可变长度的消息。它包括以下步骤:
1. 消息填充:将消息填充为块长度的倍数(通常为 512 位)。2
. 初始化:初始化初始哈希值 (IV)。3
. 块处理:将消息分成块,并使用依赖于前一个哈希值和当前块的压缩来处理每个块。4
. 最终确定:处理完所有块后,结果值即为消息的哈希值。
长度扩展攻击利用了攻击者可以仅知道消息的哈希值和长度即可继续处理消息这一事实。这使得攻击者可以计算由原始消息和附加片段组成的新消息的哈希值,而无需知道原始消息的内容。
## 攻击示例
让我们考虑一个例子,攻击者知道消息1的哈希值及其长度。他可以通过将消息2添加到原始消息来创建新消息,并按如下方式计算新消息的哈希值:
1. 已知哈希:攻击者知道(消息1)的哈希。2
. 消息长度:攻击者知道消息1的长度。3
. 附加:攻击者将消息1追加到所需长度。4
. 添加消息2:攻击者将消息2添加到填充的消息1中。5
. 哈希计算:使用已知哈希和消息1的长度,攻击者可以计算出哈希(消息1‖消息2)。
## 安全建议
为了防止长度扩展攻击,建议避免使用基于 Merkle-Damgaard 设计的哈希函数,例如 MD5、SHA-1 和大多数 SHA-2。相反,您应该使用能够抵御此类攻击的哈希函数,例如 SHA-3,或者使用 HMAC(基于哈希的消息认证码),它包含一个密钥,可以防止长度扩展攻击。
## 结论
长度扩展攻击是基于 Merkle-Damgaard 设计的哈希函数的一个严重漏洞。攻击者可以利用此漏洞在不知道原始消息内容的情况下计算新消息的哈希值。为了防范此类攻击,建议使用更现代、更安全的哈希函数(例如 SHA-3),或使用 HMAC 来确保消息的完整性和真实性。
链接
